[url=https://www.doczj.com/doc/0c1983926.html,/web/host.php][/url]
刚接触这两个配置时很迷糊,全部开启或全部注释没有几多变化。今天搜索到这么一篇讲得还不错的文章,看了几篇,还是不能完全记住,做一个收藏。
空闲子进程:是指没有正在处理请求的子进程。
1、prefork.c模块(一个非线程型的、预派生的MPM)
prefork MPM 使用多个子进程,每个子进程只有一个线程。每个进程在某个确定的时间只能维持一个连接。在大多数平台上,Prefork MPM在效率上要比Worker MPM要高,但是内存使用大得多。prefork的无线程设计在某些情况下将比worker更有优势:他能够使用那些没有处理好线程安全的第三方模块,并且对于那些线程调试困难的平台而言,他也更容易调试一些。
ServerLimit 20000
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 1000
MaxRequestsPerChild 0
ServerLimit 2000
//默认的MaxClient最大是256个线程,假如想配置更大的值,就的加上ServerLimit这个参数。20000是ServerLimit这个参数的最大值。假如需要更大,则必须编译apache,此前都是无需重新编译Apache。
生效前提:必须放在其他指令的前面
StartServers 5
//指定服务器启动时建立的子进程数量,prefork默认为5。
MinSpareServers 5
//指定空闲子进程的最小数量,默认为5。假如当前空闲子进程数少于MinSpareServers ,那么Apache将以最大每秒一个的速度产生新的子进程。此参数不要设的太大。MaxSpareServers 10
//配置空闲子进程的最大数量,默认为10。假如当前有超过MaxSpareServers数量的空闲子进程,那么父进程将杀死多余的子进程。此参数不要设的太大。假如您将该指令的值配置为比MinSpareServers小,Apache将会自动将其修改成"MinSpareServers+1"。MaxClients 256
//限定同一时间客户端最大接入请求的数量(单个进程并发线程数),默认为256。任何超过MaxClients限制的请求都将进入等候队列,一旦一个链接被释放,队列中的请求将得到服务。要增大这个值,您必须同时增大ServerLimit 。
MaxRequestsPerChild 10000
//每个子进程在其生存期内允许伺服的最大请求数量,默认为10000.到达MaxRequestsPerChild的限制后,子进程将会结束。假如MaxRequestsPerChild为"0",子进程将永远不会结束。
将MaxRequestsPerChild配置成非零值有两个好处:
1.能够防止(偶然的)内存泄漏无限进行,从而耗尽内存。
2.给进程一个有限寿命,从而有助于当服务器负载减轻的时候减少活动进程的数量。
工作方式:
一个单独的控制进程(父进程)负责产生子进程,这些子进程用于监听请求并作出应答。Apache总是试图保持一些备用的(spare)或是空闲的子进程用于迎接即将到来的请求。
这样客户端就无需在得到服务前等候子进程的产生。在Unix系统中,父进程通常以root 身份运行以便邦定80端口,而Apache产生的子进程通常以一个低特权的用户运行。User 和Group指令用于配置子进程的低特权用户。运行子进程的用户必须要对他所服务的内容有读取的权限,但是对服务内容之外的其他资源必须拥有尽可能少的权限。
2、worker.c模块(支持混合的多线程多进程的多路处理模块)
worker MPM 使用多个子进程,每个子进程有多个线程。每个线程在某个确定的时间只能维持一个连接。通常来说,在一个高流量的HTTP服务器上,Worker MPM是个比较好的选择,因为Worker MPM的内存使用比Prefork MPM要低得多。但worker MPM也由不完善的地方,假如一个线程崩溃,整个进程就会连同其任何线程一起"死掉".由于线程共享内存空间,所以一个程式在运行时必须被系统识别为"每个线程都是安全的"。ServerLimit 50
ThreadLimit 200
StartServers 5
MaxClients 5000
MinSpareThreads 25
MaxSpareThreads 500
ThreadsPerChild 100
MaxRequestsPerChild 0
ServerLimit 16
//服务器允许配置的进程数上限。这个指令和ThreadLimit结合使用配置了MaxClients 最大允许配置的数值。任何在重启期间对这个指令的改变都将被忽略,但对MaxClients的修改却会生效。
ThreadLimit 64
//每个子进程可配置的线程数上限。这个指令配置了每个子进程可配置的线程数ThreadsPerChild上限。任何在重启期间对这个指令的改变都将被忽略,但对ThreadsPerChild的修改却会生效。默认值是"64".
StartServers 3
//服务器启动时建立的子进程数,默认值是"3"。
MinSpareThreads 75
//最小空闲线程数,默认值是"75"。这个MPM将基于整个服务器监控空闲线程数。假如服务器中总的空闲线程数太少,子进程将产生新的空闲线程。
MaxSpareThreads 250
//配置最大空闲线程数。默认值是"250"。这个MPM将基于整个服务器监控空闲线程数。假如服务器中总的空闲线程数太多,子进程将杀死多余的空闲线程。MaxSpareThreads 的取值范围是有限制的。Apache将按照如下限制自动修正您配置的值:worker需要其大于等于MinSpareThreads加上ThreadsPerChild的和
MaxClients 400
//允许同时伺服的最大接入请求数量(最大线程数量)。任何超过MaxClients限制的请求都将进入等候队列。默认值是"400",16 (ServerLimit)乘以25(ThreadsPerChild)的结果。因此要增加MaxClients的时候,您必须同时增加ServerLimit的值。ThreadsPerChild 25
//每个子进程建立的常驻的执行线程数。默认值是25。子进程在启动时建立这些线程后就不再建立新的线程了。
MaxRequestsPerChild 0
//配置每个子进程在其生存期内允许伺服的最大请求数量。到达MaxRequestsPerChild 的限制后,子进程将会结束。假如MaxRequestsPerChild为"0",子进程将永远不会结束。将MaxRequestsPerChild配置成非零值有两个好处:
1.能够防止(偶然的)内存泄漏无限进行,从而耗尽内存。
2.给进程一个有限寿命,从而有助于当服务器负载减轻的时候减少活动进程的数量。
注意
对于KeepAlive链接,只有第一个请求会被计数。事实上,他改变了每个子进程限制最大链接数量的行为。
工作方式:
每个进程能够拥有的线程数量是固定的。服务器会根据负载情况增加或减少进程数量。一个单独的控制进程(父进程)负责子进程的建立。每个子进程能够建立ThreadsPerChild数量的服务线程和一个监听线程,该监听线程监听接入请求并将其传递给服务线程处理和应答。Apache总是试图维持一个备用(spare)或是空闲的服务线程池。这样,客户端无须等待新线程或新进程的建立即可得到处理。在Unix中,为了能够绑定80端口,父进程一般都是以root身份启动,随后,Apache以较低权限的用户建立子进程和线程。User和Group指令用于配置Apache子进程的权限。虽然子进程必须对其提供的内容拥有读权限,但应该尽可能给予他较少的特权。另外,除非使用了suexec ,否则,这些指令配置的权限将被CGI脚本所继承。
公式:
ThreadLimit >= ThreadsPerChild
MaxClients = MinSpareThreads+ThreadsPerChild
硬限制:
ServerLimi和ThreadLimit这两个指令决定了活动子进程数量和每个子进程中线程数量的硬限制。要想改变这个硬限制必须完全停止服务器然后再启动服务器(直接重启是不行的)。
Apache在编译ServerLimit时内部有一个硬性的限制,您不能超越这个限制。
prefork MPM最大为"ServerLimit 200000"
其他MPM(包括work MPM)最大为"ServerLimit 20000
Apache在编译ThreadLimit时内部有一个硬性的限制,您不能超越这个限制。
mpm_winnt是"ThreadLimit 15000"
其他MPM(包括work prefork)为"ThreadLimit 20000
注意
使用ServerLimit和ThreadLimit时要特别当心。假如将ServerLimit和ThreadLimit 配置成一个高出实际需要许多的值,将会有过多的共享内存被分配。当配置成超过系统的处理能力,Apache可能无法启动,或系统将变得不稳定。
[url=https://www.doczj.com/doc/0c1983926.html,/web/host.php][/url] 刚接触这两个配置时很迷糊,全部开启或全部注释没有几多变化。今天搜索到这么一篇讲得还不错的文章,看了几篇,还是不能完全记住,做一个收藏。 空闲子进程:是指没有正在处理请求的子进程。 1、prefork.c模块(一个非线程型的、预派生的MPM) prefork MPM 使用多个子进程,每个子进程只有一个线程。每个进程在某个确定的时间只能维持一个连接。在大多数平台上,Prefork MPM在效率上要比Worker MPM要高,但是内存使用大得多。prefork的无线程设计在某些情况下将比worker更有优势:他能够使用那些没有处理好线程安全的第三方模块,并且对于那些线程调试困难的平台而言,他也更容易调试一些。 ServerLimit 20000 StartServers 5 MinSpareServers 5 MaxSpareServers 10 MaxClients 1000 MaxRequestsPerChild 0 ServerLimit 2000 //默认的MaxClient最大是256个线程,假如想配置更大的值,就的加上ServerLimit这个参数。20000是ServerLimit这个参数的最大值。假如需要更大,则必须编译apache,此前都是无需重新编译Apache。 生效前提:必须放在其他指令的前面 StartServers 5 //指定服务器启动时建立的子进程数量,prefork默认为5。 MinSpareServers 5 //指定空闲子进程的最小数量,默认为5。假如当前空闲子进程数少于MinSpareServers ,那么Apache将以最大每秒一个的速度产生新的子进程。此参数不要设的太大。MaxSpareServers 10 //配置空闲子进程的最大数量,默认为10。假如当前有超过MaxSpareServers数量的空闲子进程,那么父进程将杀死多余的子进程。此参数不要设的太大。假如您将该指令的值配置为比MinSpareServers小,Apache将会自动将其修改成"MinSpareServers+1"。MaxClients 256 //限定同一时间客户端最大接入请求的数量(单个进程并发线程数),默认为256。任何超过MaxClients限制的请求都将进入等候队列,一旦一个链接被释放,队列中的请求将得到服务。要增大这个值,您必须同时增大ServerLimit 。 MaxRequestsPerChild 10000 //每个子进程在其生存期内允许伺服的最大请求数量,默认为10000.到达MaxRequestsPerChild的限制后,子进程将会结束。假如MaxRequestsPerChild为"0",子进程将永远不会结束。 将MaxRequestsPerChild配置成非零值有两个好处: 1.能够防止(偶然的)内存泄漏无限进行,从而耗尽内存。 2.给进程一个有限寿命,从而有助于当服务器负载减轻的时候减少活动进程的数量。 工作方式: 一个单独的控制进程(父进程)负责产生子进程,这些子进程用于监听请求并作出应答。Apache总是试图保持一些备用的(spare)或是空闲的子进程用于迎接即将到来的请求。
IPSec协议 IPSec协议 1 IP Sec协议概述 2 IPSec VPN工作原理 4.2.1 隧道建立方式 2.2 数据保护方式 2.3 IPSEC 协议体系结构 3 IP Sec的优点 1 IP Sec协议概述 IPSec是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF 正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。 ①保证Internet上各分支办公点的安全连接:公司可以借助Internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托Internet即可以获得同样的效果。 ②保证Internet上远程访问的安全:在计算机上装有IPSec的终端用户可以通过拨入所在地的ISP的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。 ③通过外部网或内部网建立与合作伙伴的联系:IPSec通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。 ④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,IPSec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。 IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web 访问在内多种应用程序的安全。 IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。 IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。 如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。 IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁Christian Huitema认为,关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。
连不上某个FTP站点的解决办法 一、FTP的两个模式 FTP的两个模式分为主动模式(PORT)和被动模式(PASV)。若采用主动模式,就是FTP软件请求服务器来连它;若采用被动模式,如同是服务器告诉FTP软件“你来连接我”。 小提示:有防火墙用户不能使用主动模式,这是因为防火墙不允许来自网外的主动连接,所以用户必须同使用被动模式。 二、判断问题是否在传输出模式上 在登录FTP时,经常会出现各种各样的错误,那么哪些是因为传输模式设置不正确所造成的呢?下面这些无法连接的例子,都可能是传输模式设置不正确导致的。 1.当出现“426 data connection closed,transfer aborted”提示时,表示你采用了主动模式的话,而防火墙禁止了来自FTP服务器的主动连接。 2.如果出现“550 Passive mode notallowed on this server”的信息地,则表明FTP 服务器被设置成了不支持被动模式的连接。 3.除此之外,“数据Socket错误,连接已超时”的错误也非常多见,这同样是由传输模式设置不正确引起的。 三、FTP传输模式的切换 既然因传输模式设置不当可以引发多种FTP登录故障,那么在实际应用过程中我们又该如何改变其传输模式呢?下面我们将常用工具的FTP传输模式切换方法传授给大家。 1.IE IE浏览器是我们登录FTP服务器最简单、直接的工具之一,默认使用的是主动模式,切换方法比较简单。启动IE后,打开“工具”菜单中的“Internet选项”,将打开的窗口切换到“高级”选项卡,选中其中的“使用被动FTP”选项并保存设置即可(图1)。
Apache服务器的安装与配置 一、安装Apache 双击可执行文件apache_1.3.33-win32-x86-no_src.exe,将Apache服务器软件安装至C:\Apache目录下。 二、设置C:\apache\conf\httpd.donf文件 修改Apache的核心配置文件c:\apache\conf\httpd.conf(说明一点:“#”为Apache的注释符号)。修改方法如下: 1、寻找到ServerName。这里定义你的域名。这样,当Apache Server运行时,你可以在浏览器中访问自己的站点。如果前面有#,记得删除它。 2、寻找到ServerAdmin。这里输入你的E-Mail地址。 (以上两条在安装时应该已经配置好了,所以不必改动,这里介绍一下,主要是为了日后的修改) 3、寻找到。向下有一句Options,去掉后面所有的参数,加一个All(注意区分大小写!A 大写,两个l小写。下同。);接着还有一句Allow Override,也同样去掉后面所有的参数,加一个All。
Ipsec VPN调研总结 一、Ipsec原理 Ipsec vpn指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 Ipsec是一个协议集,包括AH协议、ESP协议、密钥管理协议(IKE协议)和用于网络验证及加密的一些算法。 1、IPSec支持的两种封装模式 传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。 隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。
2、数据包结构 ◆传输模式:不改变原有的IP包头,通常用于主机与主机之间。 ◆隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。
3、场景应用图
4、网关到网关交互图
5、Ipsec体系结构: 6、ipsec中安全算法 ●源认证 用于对对等体的身份确认,具体方法包含:PSK(pre-share key);PK3(public key infrustructure公钥基础设施)数字证书,RSA等,后两种为非对称加密算法。 ●数据加密 对传输的数据进行加密,确保数据私密性,具体对称加密算法包含:des(data encrypt standard)共有2种密钥长度40bits,56bits,3des密钥长度为56bits的3倍;aes(advanced encrypted standard)AES 加密共有三种形式,分为AES 128(128-bit 长度加密),AES 192(192-bit 长度加密)以及AES 256(256-bit 长度加密)。 ●完整性校验 对接收的数据进行检查,确保数据没有被篡改,主要使用hash算法(HMAC hashed message authentication code),包含MD5(message digest输出128bit校验结 果);SHA-1(secure hash algorithm 1)输出160bits校验结果。 ●密钥交换算法
浅析FTP的PORT和PASV模式工作原理 摘要 通过阅读本文,您可以了解到FTP的基本的工作原理。作者以建立FTP连接到断开FTP连接的方式详细介绍了FTP会话全过程。如果您对PORT模式或者PASV模式的FTP工作原理有些疑惑,相信本文能使您了解更多的细节,使您更加从容的面对企业的网络流量以及安全的管理,特别是如果您的企业正准备在企业内部署ISA Server 2000,或许会给您发布内部服务器带来帮助! 目录 ?FTP协议概述 ?PORT模式 ?PASV模式 ?比较分析 ?图示 FTP协议概述 起初, FTP并不是应用于IP网络上的协议,而是ARPANEt网络中计算机间的文件传输协议,ARPANET是美国国防部组建的老网络,于1960-1980年使用。在那时, FTP的主要功能是在主机间高速可靠地传输文件。目前FTP仍然保持其可靠性,即使在今天,它还允许文件远程存取。这使得用户可以在某个系统上工作,而将文件存贮在别的系统。例如,如果某用户运行Web 服务器,需要从远程主机上取得HTML文件和CGI程序在本机上工作,他需要从远程存储站点获取文件(远程站点也需安装Web服务器)。当用户完成工作后,可使用FTP将文件传回到Web 服务器。采用这种方法,用户无需使用Telnet登录到远程主机进行工作,这样就使Web服务器的更新工作变得如此的轻松。 FTP是TCP/IP的一种具体应用,它工作在OSI模型的第七层,TCP模型的第四层上,即应用层,使用TCP传输而不是UDP,这样FTP客户在和服务器建立连接前就要经过一个被广为熟知的"三次握手"的过程,它带来的意义在于客户与服务器之间的连接是可靠的,而且是面向连接,为数据的传输提供了可靠的保证。 下面,让我们来看看,一个FTP客户在和服务器连接是怎么样的一个过程(以标准的FTP端口号为例)。 首先,FTP并不像HTTP协议那样,只需要一个端口作为连接(HTTP的默认端口是80,FTP 的默认端口是21),FTP需要2个端口,一个端口是作为控制连接端口,也就是21这个端口,用于发送指令给服务器以及等待服务器响应;另一个端口是数据传输端口,端口号为20(仅PORT 模式),是用来建立数据传输通道的,主要有3个作用 ?从客户向服务器发送一个文件。 ?从服务器向客户发送一个文件。 ?从服务器向客户发送文件或目录列表。 其次,FTP的连接模式有两种,PORT和PASV。PORT模式是一个主动模式,PASV是被动模式,
(1)xx流式 通过热线的电流保持不变,温度变化时,热线电阻改变,因而两端电压变化,由此测量流速。 利用风速探头进行测量。风速探头为一敏感部件。当有一恒定电流通过其加热线圈时,探头内的温度升高并于静止空气中达到一定数值。此时,其内测量元件热电偶产生相应的热电势,并被传送到测量指示系统,此热电势与电路中产生的基准反电势相互抵消,使输出信号为零,仪表指针也能相应指于零点或显示零值。若风速探头端部的热敏感部件暴露于外部空气流中时,由于进行热交换,此时将引起热电偶热电势变化,并与基准反电势比较后产生微弱差值信号,此信号被测量仪表系统放大并推动电表指针变化从而指示当前风速或经过单片机处理后通过显示屏显示当前风速数值。 (2)恒温式 热线的温度保持不变,给风速敏感元件电流可调,在不同风速下使处于不同热平衡状态的风速敏感元件的工作温度基本维持不便,即阻值基本恒定,该敏感元件所消耗的功率为风速的函数。 恒温风速仪则是利用反馈电路使风速敏感元件的温度和电阻保持恒定。当风速变化时热敏感元件温度发生变化,电阻也随之变化,从而造成热敏感元件两端电压发生变化,此时反馈电路发挥作用,使流过热敏感元件的电流发生相应的变化,而使系统恢复平衡。上述过程是瞬时发生的,所以速度的增加就好像是电桥输出电压的增加,而速度的降低也等于是电桥输出电压的降低。 三、电路工作原理 现以恒温式热线风速仪为例来说明它的工作原理(如图1)。把探头接在风速仪电路中电桥的一臂,探头的电阻记为R p,其他三臂的电阻分别为R 1,R 2和R
b。其中R 1=R 2,R b为一可调的十进制精密电阻。 此时,要求热线探头的电阻温度系数很高,而相反的却要求R 1,R 2和R b的电阻温度系数很小。 图1- 1热线风速仪电路原理图 在电桥AC两端加上电压E,当电桥平衡时,BD间无电位差,此时,没有信号输出。当探头没有加热时,探头的电阻值R f叫做冷电阻,各个探头有其不同的冷电阻值。测试时,把一个未知电阻值的探头接入桥路中,调节R b使电桥平衡,这时十进位电阻器R b上的数值就是冷电阻的数值,即为R f。按照所选定的过热比调节R b,使它的数值高出R f,一般推荐值为 1.5R f。这是,仪器中的电路能自动回零反馈,使I w增加,从而使热线探头的温度升高、电阻增大,一直达到R
安装apache之后,桌面右下角出现apache是红色的,这意味着apache没有启动,鼠 标移至任务栏Apache 服务图标显示“No services installed”,解决方法: 1.找到你的apache服务器的安装目录(我的安装目录在E盘) 2.点击电脑左下角“开始”→“运行”→输入“cmd”→默认是C:\Documents and Settings\Administrator> 3.现在我们将默认C:\Documents and Settings\Administrator>改为我们的Apache安装目录,命令如下:C:\Documents and Settings\Administrator>E:按回车键,然后键入安装目录中的bin地址: E:\>cd E:\Apache2.2\bin 按回车键,然后键入命令添加apache服务器: E:\>cd E:\Apache2.2\bin>httpd.exe -k install -n apache2 好了,现在我们已经添加apache这个服务了,接下来是启动服务(net start apache2):E:\>cd E:\Apache2.2\bin>net start apache2 然后按回车键,apache服务器就启动了。 卸载apache的命令是:E:\>cd E:\Apache2.2\bin>httpd -k uninstall(卸载apache) 最后测试apache是否安装成功,在IE地址栏输入:http://localhost:8080/(我的端口是8080)如果端口号是80则不用加端口号,直接在地址栏输入http://localhost/ 如果页面中出现“It Works”,则意味着你的apache安装成功了。
第九章IPSec及IKE原理 9.1 IPSec概述 IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,以及如何加密数据包。使用IPsec,数据就可以安全地在公网上传输。IPsec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。 IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议。AH可提供数据源验证和数据完整性校验功能;ESP除可提供数据验证和完整性校验功能外,还提供对IP报文的加密功能。 IPSec有隧道(tunnel)和传送(transport)两种工作方式。在隧道方式中,用户的整个IP 数据包被用来计算AH或ESP头,且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。 9.2 IPSec的组成 IPSec包括AH(协议号51)和ESP(协议号50)两个协议: AH(Authentication Header)是报文验证头协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能,可选择的散列算法有MD5(Message Digest ),SHA1(Secure Hash Algorithm)等。AH插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了hash算法来对数据包进行保护。AH没有对用户数据进行加密。 ESP(Encapsulating Security Payload)是报文安全封装协议,ESP将需要保护的用户数据进行加密后再封装到IP包中,证数据的完整性、真实性和私有性。可选择的加密算法有DES,3DES等。 9.3 IPSec的安全特点 数据机密性(Confidentiality):IPSec发送方在通过网络传输包前对包进行加密。 数据完整性(Data Integrity):IPSec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
FTP模式介绍 FTP的主动模式和被动模式的区别: 主动模式:(也叫Standard模式,PORT方式)FTP服务器主动去连接FTP客户端。FTP客户端告诉FTP服务器使用什么端口进行侦听,FTP服务器和FTP客户端的这个端口进行连接,源端口是20。 被动模式:(也叫Passive模式,也叫PASV方式)FTP服务器被动的等待FTP客户端连接自己。FTP服务器打开指定范围内的某个端口(也叫自由端口,1024--65535之间),被动的等待客户端进行连接。 主被动模式报文解析 建立控制连接的过程 登录的时候客户端是44.1.1.44服务器是33.1.1.33,用户名1密码111111 通过命令行登录 Client:syn 我请求跟你进行连接 Server:ack+syn 可以,我也请求跟你连接 Client:ack 可以(上面是三次握手) Server:response 我这ready准备好了 Client:ack 好的 Client:request 我使用的user是1 Server:response 请输入密码 Client:ack 好的,收到 Client:request 我用的密码是111111 Server: response 用户名1 ,密码111111,正确,logged in,允许进入 Client:ack 好的 上面是进行的连接控制的简单过程,FTP服务器使用的端口号是21,FTP客户端使用的端口号是64023。 主动连接:客户端通过PORT命令告诉服务器自己要使用的数据端口号,然后在客户端主动建立起这个端口的监听。进行文件传输的时候,服务器来连接客户端的这个数据接口,进行数据传输。 FTP客户端想要下载文件,get hfs.exe
PWM DC-DC 功率变换器的两种工作模式 普高(杭州)科技开发有限公式 张兴柱 博士 任何一个PWM DC-DC 功率变换器,当输入或者负载发生变化时,其在一个开关周期内的工作间隔数量也会发生变化。为了容易理解,先以电流负载下的Buck 变换器为例子,来说明这种变化。 oL 在负载电流比较大时,该变换器的一个开关周期内,只有两种工作间隔,即有源开关AS 导通、无源开关PS 截止的s DT 间隔,和有源开关AS 截止,无源开关PS 导通的s T D ′间隔。这种工作模式下,电感上的电流始终大于零,称为电感电流连续导电模式,简称为CCM 模式。 由于电容C 上满足安秒平衡定律,也即其在一个开关周期内的平均电流为零,所以电感电流在一个开关周期内的平均值必等于负载电流。当负载电流变小时,电感电流在一个开关周期内的平均值也必然变小,当变小到上图中红色波形的负载电流时,如果再继续变小负载电流的话,电感电流在有源开关AS 截止的间隔内,将减小到零。当无源开关采用二极管时,由于二极管的单向导电特性,一旦流过二极管的电流(在本例子中,即为电感电流)降为零时,二极管就会自动关断而截止,因此在这个负载之下的负载,变换器在一个开关周期内,会增加一个工作间隔,即s T D ′′间隔,这个间隔中的有源开关和无源开关均截止,这样的工作模式被称为电感电流不连续导电模式,简称DCM 模式。其电感电流的波形中,有一段时间的电流为零,如下图所示。 L 任何PWM DC-DC 功率变换器,只要其无源开关采用二极管,那么在它的稳态工作点范围内,通常均有存在两种不同工作模式工作点的可能。这两种工作模式的转换之处,一般称作CCM/DCM 的边界,如上例中红色电感电流波形所对应的负载,即为CCM/DCM 的边界负载,在这个负载之上的负载,变换器工作于CCM ;在这个负载之下的负载,变换器工作于DCM 。
1、如何设置请求等待时间 在httpd.conf里面设置: TimeOut n 其中n为整数,单位是秒。 设置这个TimeOut适用于三种情况: 2、如何接收一个get请求的总时间 接收一个post和put请求的TCP包之间的时间 TCP包传输中的响应(ack)时间间隔 3、如何使得apache监听在特定的端口 修改httpd.conf里面关于Listen的选项,例如: Listen 8000 是使apache监听在8000端口 而如果要同时指定监听端口和监听地址,可以使用: Listen 192.170.2.1:80 Listen 192.170.2.5:8000 这样就使得apache同时监听在192.170.2.1的80端口和192.170.2.5的8000端口。 当然也可以在httpd.conf里面设置: Port 80 这样来实现类似的效果。 4、如何设置apache的最大空闲进程数 修改httpd.conf,在里面设置: MaxSpareServers n 其中n是一个整数。这样当空闲进程超过n的时候,apache主进程会杀掉多余的空闲进程而保持空闲进程在n,节省了系统资源。如果在一个apache非常繁忙的站点调节这个参数才是必要的,但是在任何时候把这个参数调到很大都不是一个好主意。 同时也可以设置: MinSpareServers n 来限制最少空闲进程数目来加快反应速度。 5、apache如何设置启动时的子服务进程个数 在httpd.conf里面设置: StartServers 5 这样启动apache后就有5个空闲子进程等待接受请求。 也可以参考MinSpareServers和MaxSpareServers设置。 6、如何在apache中设置每个连接的最大请求数 在httpd.conf里面设置: MaxKeepAliveRequests 100 这样就能保证在一个连接中,如果同时请求数达到100就不再响应这个连接的新请求,保证了系统资源不会被某个连接大量占用。但是在实际配置中要求尽量把这个数值调高来获得较高的系统性能。 7、如何在apache中设置session的持续时间 在apache1.2以上的版本中,可以在httpd.conf里面设置: KeepAlive on KeepAliveTimeout 15 这样就能限制每个session的保持时间是15秒。session的使用可以使得很多请求都可以通过同一个tcp
今天从公网的服务器连接本地内网的FTP server copy文件时,系统老是提示227 Entering Passive Mode (xxx,xxx,,xxx,xxx,x),很是奇怪,于是上网找资料仔细研究了一下,原来FTP有两种工作模式,PORT方式和PASV方式,中文意思为主动式和被动式,详细介绍如下: 主动FTP : 命令连接:客户端>1024 端口→服务器21 端口 数据连接:客户端>1024 端口←服务器20 端口 被动FTP : 命令连接:客户端>1024 端口→服务器21 端口 数据连接:客户端>1024 端口←服务器>1024 端口 PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器:“我打开了***X端口,你过来连接我”。于是服务器从20端口向客户端的***X端口发送连接请求,建立一条数据链路来传送数据。 PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务器在命令链路上用PASV命令告诉客户端:“我打开了***X端口,你过来连接我”。于是客户端向服务器的***X端口发送连接请求,建立一条数据链路来传送数据。 由于我的本地FTP服务器在内网,只是从外网映射了两个端口(20,21),所以无法使用PASV 方式,解决此问题的办法也很简单,关闭客户端的PASV方式,强制其用PORT方式访问服务器,登录FTP服务器后用passive命令关闭客户端的PASV方式,如下: ftp> passive Passive mode off. ftp> passive (再次运行命令可打开) Passive mode on.
1、apache启动失败出错显示: Godisu>net start apache2. The Apache2.2 service is starting. The Apache2.2 service could not be started. The service did not report an error. More help is available by typing NET HELPMSG 3534. 2、查看apache日志: [Thu Dec 23 08:43:06 2010] [notice] Apache/2.2.4 (Win32) PHP/5.2.3 configured -- resuming normal operations [Thu Dec 23 08:43:06 2010] [notice] Server built: Jan 9 2007 23:17:20 [Thu Dec 23 08:43:06 2010] [notice] Parent: Created child process 3820 [Thu Dec 23 08:43:06 2010] [notice] Child 3820: Child process is running [Thu Dec 23 08:43:06 2010] [crit] (OS 10022)提供了一个无效的参数。: Child 3820: setup_inherited_listeners(), WSASocket failed to open the inherited socket. [Thu Dec 23 08:43:06 2010] [crit] Parent: child process exited with status 3 -- Aborting. 3、解决方法: 打开本地连接的TCP/IP属性下的Wins 去掉勾选LMHOSTS查询 NetBIOS设置选择“启用TCP/IP上的NETBIOS” 4、再次启动apache服务: Godisu>net start apach The Apache2.2 service is starting. The Apache2.2 service was started successfully. 服务已经启动成功了。 5、再次查看apache日志: [Thu Dec 23 08:43:06 2010] [crit] Parent: child process exited with status 3 -- Aborting. [Thu Dec 23 08:44:56 2010] [notice] Apache/2.2.4 (Win32) PHP/5.2.3 configured -- resuming normal operations [Thu Dec 23 08:44:56 2010] [notice] Server built: Jan 9 2007 23:17:20 [Thu Dec 23 08:44:56 2010] [notice] Parent: Created child process 2424 [Thu Dec 23 08:44:56 2010] [notice] Child 2424: Child process is running [Thu Dec 23 08:44:56 2010] [notice] Child 2424: Acquired the start mutex. [Thu Dec 23 08:44:56 2010] [notice] Child 2424: Starting 64 worker threads. [Thu Dec 23 08:44:56 2010] [notice] Child 2424: Starting thread to listen on port 80. [Thu Dec 23 08:44:56 2010] [notice] Child 2424: Starting thread to listen on port 8080. 日志显示启动正常,打开浏览器输入服务器域名或IP,测试网页OK 已经全部OK。完毕!~
Sftp和ftp 区别、工作原理等 最近使用SecureFx,涉及了两个不同的安全文件传输协议: -sftp -ftp over SSH2 这两种协议是不同的。sftp是ssh内含的协议,只要sshd服务器启动了,它就可用,它本身不需要ftp服务器启动。ftp over SSH2则象一个二传手。 1、SFTP的工作模式: 图1显示了SFTP的工作模式,它是作为SSH2的一个子服务工作的。 图 1 SFTP工作模式 2、FTP over SSH2 此协议还是基于ftp协议的。在此协议中SSH2服务器起了一个桥梁作用,把数据在客户端和ftp之间转发。ftp协议本身包括两个通道,一个是控制通道,另一个是数据通道。 FTP over SSH2有两种情况,半安全连接(Less Secure Connection)和安全连接(Full Secure Connection)。在半安全连接时,ftp客户端先和SSH2服务器连接,在这个连接中无论控制通道和数据通道都是加密的。但是SSH2服务器和ftp服务器之间就不是加密的了,如果ftp服务器运行在另外一台机器上,SSH2服务器和ftp直接就是明文传输。见图2。
图2半安全连接 图3是安全连接模式的情形,SSH2服务器和FTP服务器在同一台服务器上。 图 3 安全连接 FTP(文件传输协议)工作原理
目前在网络上,如果你想把文件和其他人共享。最方便的办法莫过于将文件放FTP服务器上,然后其他人通过FTP客户端程序来下载所需要的文件。 1、FTP架构 如同其他的很多通讯协议,FTP通讯协议也采用客户机/ 服务器(Client / Server )架构。用户可以通过各种不同的FTP客户端程序,借助FTP协议,来连接FTP服务器,以上传或者下载文件。 2、FTP通讯端口知识 FTP服务器和客户端要进行文件传输,就需要通过端口来进行。FTP协议需要的端口一般包括两种: 控制链路--------TCP端口21 所有你发往FTP服务器的命令和服务器反馈的指令都是通过服务器上的21端口传送的。 数据链路--------TCP端口20 数据链路主要是用来传送数据的,比如客户端上传、下载内容,以及列目录显示的内容等。 3、FTP连接的两种方式 在数据链路的建立上,FTP Server 为了适应不同的网络环境,支持两种连接模式:主动模式(Port)和被动模式(Pasv)。其实这两种连接模式主要是针对数据链路进行的,和控制链路无关。 主动模式
BOOST 电路两种工作模式的比较 整理者:王伟旭 一、BOOST 电路两种工作模式效率的比较 设BOOST 电路工作于临界状态时算出此时的电感值,当选用电感大于这个值时电路工作于CCM ,当选用电感小于这个值时电路工作于DCM 。实际应用中,多让BOOST 电路工作于CCM ,主要是因为其效率高于DCM 。 对于BOOST 电路电路来说,其电路主要的损耗在于开关管切换过程中,闭合时流过的电流产生的能量。比较CCM 与DCM 的效率就是看哪种模式下开关管消耗的能量多少,这个能量的比较进一步来讲就是比较其流过的电流有效值的大小。 通过计算电路两种模式下的开关管电流有效值大小,进行比较来决定这两种模式的效率高低。 开关管在开关开启的过程中才有电流流过,其值等于电感电流,这个电流在开启到关断这一时刻达到最大值,两种模式下的开关管电流波形分别如图1所示。 图1 开关管电流波形图 首先计算DCM 下流过开关管电流的有效值: ∫=ON T ON rms DCM dt t T I T I 020)()(1 (1.1) 对式1.1化简可得:
0)(3 I D I rms DCM =,其中T T D ON = (1.2) 然后计算CCM 下流过开关管电流的有效值: 21222102221)(3 )(1I I I I D dt I t T I I T I ON T ON rms CCM ++?=+?=∫ (1.3) 对于同样的外部参数的两种模式BOOST 电路(输入、输出电压,功率相同),其输入与输出电流平均值是相等的。通过这个关系我们可以得出I 0与I 1和I 2的关系,如式1.4所示。 210210)()(2 2I I I I I D I D U P I in avg in +=?→?+=== (1.4) 将式1.4关系带入式1.2可得: 212221)(23 I I I I D I rms DCM ++?= (1.5) 即可得到: )()(rms CCM rms DCM I I > (1.6) 二、BOOST 电路两种模式电感感值的比较 对于一个BOOST 电路,通过改变其电感的大小可以使其从DCM 过渡到CCM ,我们依据DCM 和CCM 两种模式下电感传递的能量是相等的这个概念来推证CCM 电感的感值大于DCM 电感的感值。 对于两种模式的电感电流波形如图2所示。 图2 两种模式下电感电流波形示意图
Apache与tomcat的整合、负载均衡和加入启动 和系统服务 系统环境:Windows Server 2008 R2 SP1 虚拟机软件:Hyper-V治理器6.1.7601.17514 虚拟机环境:Red Hat Enterprise Linux Server release 5.4 (Tikanga) X64 安装软件版本:JDK:1.6.0_19 Tomcat:6.0.20 Apache:2.2.19 JK: 1.2.10实施步骤: 一、安装软件。。。 tar -xzvf jdk1.6.0_19.tar.gz tar xvfz tomcat.tar.gz tar zxvf httpd-2.2.19.tar.gz cd httpd-2.2.19 ./configure --prefix=/usr/local/apache2 --enable-so --enable-mods-shared =most --with-mpm=worker make make install tar zxvf jakarta-tomcat-connectors-1.2.10-src.tar.gz cd jakarta-tomcat-connectors-1.2.10-src/jk/native/ ./buildconf.sh ./configure --with-apxs=/usr/local/apache2/bin/apxs make make install 二、配置整合及负载均衡 1 cp /usr/local/jakarta-tomcat-connectors-1.2.10-src/jk/native/apache-2.0/ mod_jk.so /usr/local/apache2/modules 配置环境变量 vi /etc/profile 在文本末尾加入以下内容
竭诚为您提供优质文档/双击可除 ipsec协议的应用 篇一:ipsec协议 ipsec协议 ipsec协议 1ipsec协议概述 2ipsecVpn工作原理 4.2.1隧道建立方式 2.2数据保护方式 2.3ipsec协议体系结构 3ipsec的优点 1ipsec协议概述 ipsec是一系列基于ip网络(包括intranet、extranet 和internet)的,由ietF正式定制的开放性ip安全标准,是虚拟专网的基础,已经相当成熟可靠。ipsec可以保证局域网、专用或公用的广域网及internet上信息传输的安全。 ①保证internet上各分支办公点的安全连接:公司可以借助internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依
托internet即可以获得同样的效果。 ②保证internet上远程访问的安全:在计算机上装有ipsec的终端用户可以通过拨入所在地的isp的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。 ③通过外部网或内部网建立与合作伙伴的联系:ipsec 通过认证和钥匙交换机制确保企业与其它组织的信息往来 的安全性与机密性。 ④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,ipsec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。 ipsec的主要特征在于它可以对所有ip级的通信进行加密和认证,正是这一点才使ipsec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及web访问在内多种应用程序的安全。 ipsec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装ipsec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行ipsec,应用程序一类的上层软件也不会被影响。 ipsec对终端用户来说是透明的,因此不(ipsec协议的应用)必对用户进行安全机制的培训。如果需要的话,ipsec
ftp主动被动模式配置混乱导致无法登录 现象:用户反馈ftp无法登陆,ssh登陆是正常的,在登陆ftp的时候提示错误:连接接受发送的数据确认失败,新建ftp站点同样有提示错误:服务器端接口异常,ftp站点添加失败。 1.解决方案1 分析过程及解决方案:我们入机器后查看,确认是/etc/vsftpd/vsftpd.conf,用户主动模式和被动模式设置错误导致。 在/etc/vsftpd/vsftpd.conf文件里用户的源文件是这样的: listen=YES anonymous_enable=NO use_localtime=YES local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=NO xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=NO idle_session_timeout=180 data_connection_timeout=120 ascii_upload_enable=YES ascii_download_enable=YES ftpd_banner=Welcome to https://www.doczj.com/doc/0c1983926.html, FTP service. chroot_list_enable=YES chroot_list_file=/etc/ftpchroot ls_recurse_enable=YES pam_service_name=vsftpd userlist_enable=YES log_ftp_protocol=YES max_per_ip=3 pasv_enable=YES pasv_max_port=30000 pasv_min_port=30000 设置出错的原因分析: 在上述/etc/vsftpd/vsftpd.conf文件中connect_from_port_20=YES 是当主动模式开启的时候,是否启用默认的20端口监听的意思 pasv_enable=YES pasv_max_port=30000 pasv_min_port=30000这个是用被动模式进行设置 被动模式正确设置为: PASV_enable=YES 开启被动模式